(Fonte da imagem: Reprodução/TechCrunch)
Em seus dias de glória, a botnet Grum chegou a controlar mais de 100 mil computadores espalhados por todo o mundo, sendo responsável pelo envio de 18% das mensagens de spam do planeta. A rede de máquinas zumbis chegou a seu fim em julho deste ano a partir de uma ação da empresa de segurança FireEye, que conseguiu fazer um ataque capaz de exterminá-la completamente.
Uma matéria publicada pelo site TechCrunch mostra como a empresa conseguiu esse feito, além de contar a história completa da rede de bots. Tudo começou em 2007, quando um grupo de hackers começou a enviar um arquivo executável supostamente pertencente ao Internet Explorer 7 — o software falso garantiu a eles o controle de milhares de PCs que foram infectados por seus próprios donos.
Como o código usado pelos administradores do Grum infectava uma parte importante do registro do Windows, desinstalá-lo era um processo praticamente impossível. Através de atualizações constantes do código malicioso, seus criadores se certificaram de que as máquinas infectadas continuaram se conectando automaticamente aos servidores responsáveis por enviar mensagens de spam que perpetuavam a ameaça.
O momento do ataque
Embora fosse considerada a maior rede de spams do mundo em janeiro de 2012, nos seis meses seguintes a Grum sofreu com uma grande diminuição no número de servidores que utilizava para propagar seus ataques. Esse foi o momento considerado ideal por Atif Mushtaq, cientista da empresa de segurança FireEye, para efetuar um ataque capaz de derrubar a botnet.
Após identificar que os servidores da rede zumbi estavam localizados principalmente na Holanda, Ucrânia, Rússia e Panamá, ele entrou em contato com as autoridades desses países para tirá-los do ar. O primeiro a ser eliminado foi aquele presente em território holandês, e foi tirado do ar pelas autoridades locais em questão de pouco tempo.
(Fonte da imagem: Reprodução/TechCrunch)
Outros grupos especializados em segurança que estavam observando a operação logo se manifestaram para ajudar o FireEye. Após os servidores localizados na Ucrânia terem sido tirados do ar, os administradores da Grum agiram rapidamente para reativar suas atividades no país.
Com a ajuda dos grupos Spamhaus e CERT-BIG e um pesquisador anônimo conhecido como Nova7, a equipe de Mushtaq conseguiu derrubar esses novos servidores e cortar o acesso à máquina original localizada na Rússia no dia 18 de julho deste ano. Com isso, a rede estava oficialmente morta: dos 120 mil endereços de IP que ela tinha à sua disposição, restavam somente 21.505, todos incapazes de se comunicar com os administradores da botnet.
O fim de uma era
“De certa maneira, tivemos sorte com isso, pelo fato de que tínhamos um relacionamento existente com todos os ISPs envolvidos, já que não tivemos que ligar para eles e explicar o quanto a situação era ruim etc etc”, afirmou Carek Von Straten, do grupo Spamhaus. Porém, para a FireEye, a história não deve acabar por aí.
Em uma atualização publicada no blog da companhia, Atif Mushtaq afirmou que “não há mais locais seguros. A maioria das botnets de spam que costumavam manter seus servidores nos Estados Unidos e Europa se mudaram para países como Panamá, Rússia e Ucrânia pensando que ninguém poderia tocá-los nessas zonas de conforto. Provamos que eles estavam errados dessa vez. Continuaremos sonhando com caixas de entrada livres de lixo”.
Fonte: TechCrunch